Browser-Alternative Lynx auch unsicher

Im textbasierten Webbrowser Lynx hat iDefense eine Schwachstelle ausgemacht, durch die Angreifer beliebige Befehle mit den Rechten des surfenden Benutzers ausführen könnten.

In Pocket speichern vorlesen Druckansicht 307 Kommentare lesen
Lesezeit: 1 Min.
Von

Im textbasierten Webbrowser Lynx, der häufig als sichere Alternative zu den grafischen Browsern angepriesen wird, hat iDefense eine Schwachstelle ausgemacht, durch die Angreifer beliebige Befehle mit den Rechten des surfenden Benutzers ausführen könnten. Lynx erlaubt das Ausführen von lokalen cgi-bin-Programmen, die eigentlich auf ein bestimmtes Verzeichnis beschränkt sein sollten.

Diverse Linux-Distributoren verpassen dem Browser jedoch eine unsichere Grundkonfiguration, wodurch Webseiten jeden Befehl, auf den der Benutzer zugreifen kann, aufrufen könnten. iDefense zufolge sind unter anderem die Lynx-Pakete der Hersteller Red Hat, Gentoo und Mandriva verwundbar. Die Pakete von OpenBSD und FreeBSD wurden beispielsweise ohne die lynxcgi-Option kompiliert und sind daher nicht anfällig.

Als Workaround schlägt iDefense vor, das lynxcgi-Feature abzuschalten: In der Datei lynx.cfg muss dazu die Zeile TRUSTED_LYNXCGI:none hinzugefügt werden. Benutzer des Browsers sollten aktualisierte Pakete ihres Distributors einspielen oder den Workaround nutzen.

Siehe dazu auch: (dmk)